Auf dem jährlichen Kongress des Chaos Computer Clubs berichtet dieses Jahr ein Security-Experte namens Michael Steigerwald über Möglichkeiten des Einbruchs in Home-Netze über Smarthome-Geräte. Der Vortrag ist auf Deutsch, aber trotzdem einigermaßen Technobubble-Hardcore. Wer trotzdem Interesse hat: https://media.ccc.de/v/35c3-97…rt_home_-_smart_hack#t=40
Es geht um ein (chinesisches?) Unternehmen, das Cloudservices an jedermann verkauft. Das ist erstmal nichts Verwerfliches. Wer ein eigenes Smarthome-Gerät gebaut hat und das mit Cloudanbindung anbieten will, kann sich dort die notwendigen Cloudservices dazukaufen. Die bieten sogar einen Smartphone-App-Generator an und schwups, schon ist man Smarthomegeräte-Anbieter.
Weiterhin bieten die auch gleich die Smarthome-Geräte an. Man muss also gar nichts selber tun, nur noch bestellen und schon hat man eine Glühbirne + App + Cloud, natürlich alles mit eigenem Logo und kann sich auf dem Smarthomegeräte-Markt tummeln.
Im Vortrag wird gezeigt, wie der Flashspeicher einer solchen Glühbirne ausgelesen und manipuliert wird. Das kann eigentlich jeder mit ein bisschen Wissen, das man sich ja draufschaffen kann. Also ich kann's nicht so ohne Weiteres, aber es sieht auch nicht so wirklich schwierig aus. So könnte man dann ganz wunderbare Geschenke bauen, die beispielsweise die Zugangsdaten des Homenetzwerks des Beschenkten auslesen und an euch versenden. Oder schraubt doch einfach nachts die Glühbirne eures Nachbarn aus seiner Gartenbeleuchtung und bringt sie ihm "verbessert" zurück.
Letztendlich geht es hier um das ganze Billigzeugs ("hey cool! Ich habe hier eine smarte Birne für nur zwofuffzig gefunden, von der Smart und Böse GbR, da hab ich mir mal gleich 30 Stück bestellt. Das Modell heißt Bloß nicht reinschrauben, blöder Name, aber für die Kohle ist mir das egal!"). Ich glaube nicht, dass das so einfach geht mit Trådfri- oder Hue-Zeugs - aber weiß man's? Immerhin kaufen wir hier eine Menge kleine Computer, und die meisten hier im Forum haben damit mehr Computer zu Hause herumstehen als dieser Computernerd in der Bekanntschaft. Für manche hier im Forum - für mich! - ist das alles wundervolles Spielzeug, aber in Wirklichkeit ist es das nicht.
Ich werde mich im neuen Jahr mit SSL für homebridge-config-ui-x auseinandersetzen. Immer wenn ich das aufrufe und in die config.json reinschaue, werden darin enthaltene Zugangsdaten für sonstwas unverschlüsselt über das WLAN übertragen. Das sollte besser nicht so sein. Ich habe zwar keine pubertierenden Blagen, die mein WLAN nutzen und die Zugangsdaten an ihre pubertierenden Freunde weitergeben, von denen besonders der eine, schweigsame Typ mit der dicken Brille den ganzen Tag in meinem Wohnzimmer sitzt und entrückt lächelnd auf seinem Notebook herumhackt. Und meine Bekannten können ohne fremde Hilfe nicht mal ihr iPad einschalten. Bin ich also damit sicher?
Ich glaube nicht. Ein SSL-Zertifikat zu beschaffen ist nicht sonderlich schwierig, aber mir fallen auf Anhieb kleine Problemchen ein, die das machen könnte. Wenn ich was weiß, werde ich hier eine Anleitung veröffentlichen.
Stefan